Adli Analiz İşlemlerine Başlamak.
Her hangi bir bilişim suçunun işlenmesinin ardından, şüpheli bilgisayar sistemlerindeki kanıtların toplanması için, bu sistemlerin diskleri üzerinde inceleme yapılır. Ancak bu inceleme sırasında elde edilen kanıtların geçerli olabilmesi için incelenen sabit diskin zarar görmemesi veya değişmemiş olması gerekmektedir. Bu nedenle ilk olarak kanıt diskin MD5 veya SHA1 gibi mesaj özeti (Message Digest) fonksiyonları ile bir özeti alınmalıdır. Bu özet analiz işlemi sırasında diskin değişip değişmediğini kanıtlayacak önemli bir veridir. Disk üzerinde bulunan kanıtların inceleme sırasında disk üzerine yazıldığı bu nedenle geçerli deliller olmadıkları iddia edilebilir.
Bu nedenle daha analiz işlemi başlamadan uygun araçlarla kanıtdiskin bir özetini almak bu tür iddiaları geçersiz kılacaktır. Çünkü kanıt disk üzerinde tek bir bit bile değişmiş olursa diskin yeni özeti analiz işleminden önceki özetinden farklı olacaktır. Bu nedenle analiz işleminden önce mutlaka kanıt diskin bir özeti alınmalı ve güvenli bir ortamda değiştirilemeyecek şekilde saklanmalıdır.
Harun ŞEKER tarafından adli analiz işlemlerine hazırlık konusunda yazılmış belgeye aşağudaki adresten ulaşabilirsiniz :
http://www.cehturkiye.com/adli_analiz_islemleri.pdf
Adli İnceleme Analizi bu şekilde olmaz. Bazı kavramlar doğru ama çok eksik var. Eğer isterseniz bunu tartışabiliriz.
Caner KOCAMAZ
Adli Bilişim Uzmanı
Merhaba,
Bu döküman adli analiz işlemlerine giriş seviyesinde yazılmıştır.
http://www.cehturkiye.com/ceh forum sayfamızdan bu konuyu tartışabiliriz.Değerli bilgi ve tecrübelerinizi bizimle paylaşırsanız seviniriz.
Güvenli Günler.
Güzel bir çeviri lakin eksiklikleriniz telafisi olmayan hatalara sebep verebilir. Şöyle ki öncelikli olarak analizi yapılacak disk, sisteme nasıl bağlanacak ? Tabii write-block koruması altında. Bunu da yazılımsal veya donanımsal olarak gerçekleştireceğiz. Bir diğer konu ise MD5 veya SHA1 mesaj özeti işlemleri için bile olsa orijinal medya üzerinde işlem gerçekleştirilmemesi ve bütün analiz işlemlerinin alınan birebir kopya üzerinden gerçekleştirilmesi gerektiğidir.
Sitenizde birçok değerli bilgi olduğunu gördüm ve bunları paylaşmanızdan dolayı mutlu oldum. Amacım sizleri tekit etmekten ziyade bu işte en çok yapılan hataların en başta pas geçilen işlemler olduğunu anlatmak istememdir.
İyi Günler
Katkılarınızı bekliyoruz, yazacağınız belgeyi sayfamızda yayımlamaya hazırız.
Daha iyisini yazın yayımlayalım 🙂